首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
求助:如何在GetVersion处下断
发表于: 2006-7-13 11:54 4126

求助:如何在GetVersion处下断

rockyou 活跃值
2006-7-13 11:54
4126
看shoooo前辈的文章“nspack3.5主程序脱壳分析(Aspr SKE 2.X)”,想跟着做一下,结果刚开始就掉队。文中说到在GetVersion的末尾下断,可是我怎么才能找到那个函数的代码呢?我用的是ollydbg。

   还有个小问题,很多文章中都说数多少次异常,可我每次用OD加载后没有异常出现啊?我把忽略所有异常关闭也不行。

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (4)
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
1.ctrl+G输入GetVersion
7C8114AB kernel32.GetVersion    64:A1 18000000  mov     eax, fs:[18]
7C8114B1                        8B48 30         mov     ecx, [eax+30]
7C8114B4                        8B81 B0000000   mov     eax, [ecx+B0]
7C8114BA                        0FB791 AC000000 movzx   edx, word ptr [ecx+AC]
7C8114C1                        83F0 FE         xor     eax, FFFFFFFE
7C8114C4                        C1E0 0E         shl     eax, 0E
7C8114C7                        0BC2            or      eax, edx
7C8114C9                        C1E0 08         shl     eax, 8
7C8114CC                        0B81 A8000000   or      eax, [ecx+A8]
7C8114D2                        C1E0 08         shl     eax, 8
7C8114D5                        0B81 A4000000   or      eax, [ecx+A4]
7C8114DB                        C3              retn              //尾部

2.
不是所有程序都会有异常的。
2006-7-13 11:57
0
堀北真希
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
kanxue老师正解
2006-7-13 11:58
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 堀北真希 发布
kanxue老师正解


谢谢 堀北MM 的鼓励
2006-7-13 12:01
0
rockyou
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢了!这种比较弱智的问题,大虾们都肯赐教,让人感激!
2006-7-13 13:45
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//